rsyslog+loganalyzer搭建日志服务器
日志简介:
日志:即历史事件,按时间序列将发生的事件予以记录;日志记录了事件发生的时间,时间内容,事件的关键性程度;运维人员可通过检查这些记录的信息,发现错误发生的原因,或寻找受到攻击时,攻击者留下的痕迹。
syslog是CentOS6之前的默认日志系统;
syslogd:系统进程的相关日志
kloged:内核事件相关日志
rsyslog是CentOS6的默认日志系统:
支持多线程
支持tcp,ssl,tls,relp等协议
支持MySQL,PGSQL,Oracle等多种关系型数据中
强大的过滤器,可实现过滤系统信息中的任意部分
支持自定义输出格式
适用于企业级别日志记录需求
facllity:设施,从功能或程序上对日志进行分类,并由专门的工具附则记录其日志
auth:认证相关信息
authpriv:认证授权相关信息
cron:周期性计划任务相关信息
daemon:守护进程相关信息
kern:内核相关信息
lpr:打印相关信息
mail:收发邮件相关信息
mark:防火墙标记
news:新闻相关信息
security:安全相关信息
syslog:自身记录
user:用户相关信息
uucp:早起系统文件共享服务
local0..local7:8个自定义facility
指定设施时可以使用通配符:
*:所有
!:取反
f1,f2,f3,...:列表
priority:级别
debug:调试信息
info:基本说明信息
notice:需要注意的信息
warn,warning:警告信息
err,error:错误信息
crit:蓝色警报
alert:橙色警报
emerg,panic:红色警报
级别可以使用通配符:
*:所有级别
none:没有任何级别
target:目标,制定如何存储日志
文件路径:例如,/var/log/messages
用户:*
日志服务器:@SERVER_IP
管道: | COMMAND
rsyslog的之配置文件:/etc/rslog.conf,其定义格式;
facility.priority Target
mail.info /var/log/maillog
比指定级别更高的所有级别,包括指定的级别本身;
mail.=info /var/log/maillog
明确指定级别;
mail.!info *
除了指定级别
*.info | COMMAND
所有facility的info级别
mail.*:
mail的所有级别
mail,news.info:
日志信息格式:
时间 主机 进程(PID):事件
启用日志服务器的功能:模块
通过514/udp搜集日志信息:
> # Provides UDP syslog reception > $ModLoad imudp > $UDPServerRun 514
通过514/tcp搜集日志信息
> # Provides TCP syslog reception > $ModLoad imtcp > $InputTCPServerRun 514
实例:基于LAMP平台搭建rsyslog+loganalyzer日志服务器
实验环境:
web-php服务器,同为日志客户端:
IP:192.168.1.10
操作系统:CentOS6.7 x86_64
数据库服务器:
IP:192.168.1.11
操作系统:CentOS6.7 x86_64
日志服务器:
IP:192.168.1.12
操作系统:CentOS6.7 x86_64
loganalyzer:loganalyzer-3.6.6.tar.gz
官网:http://www.loganalyzer.net/
实验过程:
连接日志服务器和客户端:
编辑日志服务器配置文件,启动日志服务器功能,接收客户端的日志:
# vim /etc/rsyslog.conf > $ModLoad imudp > $UDPServerRun 514 > > $ModLoad imtcp > $InputTCPServerRun 514
重启rsyslog服务,查看端口:
# service rsyslog restart # ss -tunl | grep :514
编辑日志客户端配置文件,指定日志服务器,重启rsyslog服务;
# vim /etc/rsyslog.conf > *.info;mail.none;authpriv.none;cron.none @192.168.1.12 # service rsyslog restart
日志服务器查看日志:
# tail -l /var/log/messages
服务器已接收到客户端的日志。
日志服务器连接数据库:
数据库服务器安装服务;
# yum install mysql mysql-server
启动mysql服务:
# chkconfig mysqld on # service mysqld start
日志服务器安装mysql模块:
# yum install rsyslog-mysql
查看安装rsyslog-mysql模块生成文件:
# rpm -ql rsyslog-mysql
生成的数据库文件传送给数据库服务器:
# scp /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql 192.168.1.11:/root
将文件导入数据库:
# mysql < createDB.sql
授权rsyslog用户
# mysql mysql> GRANT ALL ON Syslog.* TOrsysloguser@'192.168.1.%' IDENTIFIED BY 'rsyslogpass'; mysql> FLUSH PRIVILEGES;
编辑日志服务器配置文件添加ommysql模块,日志信息指向数据库服务器,重启服务:
# vim /etc/rsyslog.conf > $ModLoad ommysql > *.info;mail.none;authpriv.none;cron.none :ommysql:192.168.1.11,Syslog,rsysloguser,rsyslogpass # service rsyslog restart
查看mysql信息:
数据库已接收到日志信息。
安装lamp平台部署loganalyzer:
安装lamp平台:
# yum install httpd php php-mysql
配置loganalyzer:
# tar xf loganalyzer-3.6.6.tar.gz # mkdir -p /var/www/html/log # cp -a loganalyzer-3.6.6/src/*/var/www/html/log/ # cp -a loganalyzer-3.6.6/contrib/*/var/www/html/log/ # cd /var/www/html/log/ # chmod +x configure.sh secure.sh # ./configure.sh # ./secure.sh # chmod 666 config.php # chown -R apache:apache ./*
启动服务:
# chkconfig httpd on # service httpd start
访问站点http://192.168.1.10/log配置信息:
点击here继续;
点击Next继续;
文件可写,点击Next继续;
关闭用户数据库,Next继续;
连接数据库,Next继续;
安装完成:
结语:
查看日志,分析日志是一位运维工程师的日常,rsyslog+loganalyzer可以将日志信息反映于web页面,显示更直观,便于统计、分析,并且还可以远程查看,管理,搭建过程也非常方便;以上为本人学习整理内容,试验中如有遗漏和失误,欢迎各路大神来喷。
本文出自 “小马的学习记录” 博客,请务必保留此出处http://masachencer.blog.51cto.com/8683770/1690605